智能汽车黑客攻击_智能汽车防止黑客入侵方法

文章栏目:

• 1、智能车时代，黑客是否能通过网络入侵并控制智能化的汽车？
• 2、360年度汽车安全报告：两种新型攻击模式引关注
• 3、为防止黑客入侵 特斯拉将推“双重认证”功能
• 4、无人汽车要是被坏人入侵系统，那行人和车主怎么保障安全？

智能车时代，黑客是否能通过网络入侵并控制智能化的汽车？

相信很多车主都有一个这样的疑问：如果有一天，恶意的黑客恶意的入侵了汽车系统，让汽车失去控制怎么办？车联网的智能车是否足够安全呢?

很多人不知道车联网带来的便利，与之形成鲜明对比的是，更多的人对车联网所遭遇的安全问题一无所知。

6月21日，工信部发布《关于车联网网络安全标准体系建设的指导意见》，向社会公开征求意见。该文件包括了车联网网络安全标准体系的框架、重点标准化领域和方向。

工信部为何继续关注车联网？车联网的未来是怎样的？车联网的概念可以追溯到20年前。早在1996年，通用汽车公司(General Motors)就率先推出了搭载OnStar系统的联网汽车。车联网顾名思义，就是将智能汽车、行人、智能道路、指标连接在一起，实现智能出行的目的。

《证券日报》做过相关统计，在2019年，黑客通过入侵共享汽车的APP、改写程序和数据的方式，成功盗走的车辆多达100多辆，其中包括奔驰CLA、CLA小型SUV、Smartfortwo微型车等。在过去的5年里，针对智能汽车的攻击次数呈指数级增长，高达20倍，其中27.6%的攻击与车辆控制有关，这是一个重大的安全问题。

Upstream Security发布了2021年《汽车网络安全报告》，该报告衡量了2016年至2021年9月期间汽车网络安全事故的数量。报告发现，事故数量增加了6倍多。黑客给无数汽车网络行业带来损失，但在智能化的大趋势下，汽车不会因为黑客的存在和网络发展的停滞，本质、启明星、深信、绿色unita、arnhem、天信信息互联网络安全公司也参与了汽车产业链、产业安全防御体系的布局。

总的来说，黑客是可以通过网络入侵车联网的，但受于国家政策法规的限制，即使智能车存在漏洞黑客也不敢随意加以利用，目前智能车的安全性需要智能车相关领域的大多数汽车企业和供应商的关注和共同探索，使得智能车给我们生活带来的便利的同时不会受到黑客攻击的影响。

360年度汽车安全报告：两种新型攻击模式引关注

汽车网络信息安全问题越来越成为备受关注的话题。

近日，360公司正式发布了《2019智能网联汽车信息安全年度报告》，该报告从智能网联汽车网络安全发展趋势、新型攻击手段、汽车安全攻击事件、汽车安全风险总结和安全建设建议等方面对2019年智能网联汽车信息安全的发展做了梳理。

值得注意的是，该报告指出，在2019年车联网出现了两种新型攻击方式，一种是基于车载通信模组信息泄露的远程控制劫持，另一种则是基于生成式对抗网联（GSN）的自动驾驶算法攻击。其中，通信模组则是导致批量控车发生的根源。

“新四化”带来的新挑战

自2018年以来，汽车市场销量就一直呈现负增长。数据显示，2019年，我国汽车产销分别是2572.1万辆和2576.9万辆，同比下降7.5%和8.2%，但产业下滑幅度有所收窄。

也正是基于此背景，以“电动化、共享化、智能化、网联化”为核心的“新四化”成为行业发展共识。随着新四化不断推进，汽车原本几千上万数量的机械零部件，逐渐被电机电控、动力电池、整车控制器等在内的“三电”系统所取代。

其中，汽车电子电气架构也随之发生着颠覆性的变革，最突出的表现就在于从分布式架构逐步演进为域集中式架构或中央集中式架构。

具体来说，电子电器架构从分布式向集中式演变，未来软硬件也将会解耦，硬件不再被某一特定功能所独享，这也意味着，一点汽车软件被黑客破解劫持，那么共享的硬件将会面临非法调用、恶意占用等威胁。并且，未来关键ECU的功能整合程度会进一步提高，代码量的增加就会导致漏洞随之增长，一旦ECU自身遭到破解，黑客将劫持更多的控制功能。

另外，集中式架构中的中央控制网关称为车辆与外界沟通的重要通信组件，如果自身存在代码漏洞，被黑客利用就会导致车辆无法提供服务。

此外，集中式架构中的中央控制模版承担了主要功能的实现，如特斯拉Model 3的中央计算模块（CCM）直接整合了驾驶辅助系统（ADAS）和信息娱乐系统（IVI）两大域，以及外部连接和车内通信系统域功能

集中式架构中的中央控制模块承担了主要功能的实现，例如特斯拉 Model 3 的中央计算模块 (CCM) 直接整合了驾驶辅助系统 (ADAS) 和信息娱乐系统 (IVI) 两大域，以及外部连接和车内通信系统域功能。

Model 3内部的通信是由以太网总线串联，其在规避了CAN总线攻击的同时，却也带来了新的安全问题，如容易遭受跨 VLAN攻击，拒绝服务攻击等。而外部的通信包括车辆将直接与TSP服务器进行连接，如果身份认证、数据包防篡改、防重放等防护手段不够牢固，则面临批量远程控制车辆的威胁。

虽然说中央集中式的电子电气架构将算力向中央、云端集中，降低了自动化系统的成本，打破了高级别自动驾驶 方案的算力瓶颈。但与此同时，自动驾驶算法，如特斯拉自研的FSD芯片上运行的神经网络图像识别算法等的安全性也成为了业界关注的重点。

新型攻击方式

前文有所言，在此次报告中，360还披露了其发现的两种新型攻击方式。一种是基于车载通信模组信息泄露的远程控制劫持，另一种则是基于生成式对抗网联（GSN）的自动驾驶算法攻击。

基于车载通信模组信息泄露的远程控制劫持这一攻击方式，是通过TCU的调试接口或者存储模块获取到APN的联网信息和TSP日志信息，然后通过连接ESIM模块与车厂的TSP服务器进行通信。

据介绍，APN是运营商给厂商建立的一条专有网络，因为私网APN是专网，安全级别很高，直接接入到车厂的核心交换机上，绕过了网络侧的防火墙和入侵检测系统的防护。但是， 一旦黑客通过私有APN网络渗透到车厂的内部网络，则可实施进一步的渗透攻击，实现远程批量控制汽车。

在此前一次演讲中，360Sky-Go的安全研究人员发现中国国内大部分自主品牌汽车，均使用私有APN连接车控相关的TSP后端服务器。通过ISP 拉专线可以在一定程度上保护后端服务器的安全，但与此同时也给后端服务器带来了更多的安全风险。

原因在于，由于私有APN的存在，TSP虽然不会暴露于公网，但却导致了TSP的安全人员忽视了私有网络和TSP本身的安全问题，同时私有网络内没有设置严格的安全访问控制，过度信任T-Box， 使得T-Box可以任意访问私有网络内部资产。

同时，很多不必要的基础设施服务也暴露于APN私网内，将引发更多安全风险。因此，一旦黑客获取到智能汽车的T-Box通讯模块，即可通过通讯模块接入车厂私有网络，进而攻击车厂内网，导致TSP沦陷。

基于生成式对抗网联（GSN）的自动驾驶算法攻击的发生则是源于在深度学习模型训练过程中，缺失了对抗样本这类特殊的训练数据。在目前深度学习的实际应用中，通过研究人员的实验证明，可以通过特定算法生成相应的对抗样本，直接攻击图像识别系统。因此，当前的神经网络算法仍存在一定的安全隐患，值得引起我们的注意。

除了这两种新型攻击方式之外，还有一种攻击方式值得我们注意，就是数字钥匙。

据介绍，数字车钥匙可用于远程召唤，自动泊车等新兴应用场景，这种多元化的应用场景也导致数字钥匙易受攻击。原因在于，数字车钥匙的“短板效应”显著，身份认证、加密算法、密钥存储、数据包传输等任一环节遭受黑客入侵，则会导致整个数字车钥匙安全系统瓦解。目前常见的攻击方式是通过中继攻击方式，将数字车钥匙的信号放大，从而盗窃车辆。

未来智能汽车的安全

在手机行业，从传统功能机升级换代到智能机，一直伴随着的就是网络信息安全问题，即使在现如今智能手机如此发达的时期，也不可避免的出现网络诈骗现象。

与手机行业相似的是，传统功能车升级换代到智能网联车，其势必也将会面临网络信息安全问题。然而，汽车不比手机，手机被网络黑客攻击，最多出现的就是财产损失。但汽车一旦被黑客攻击或劫持，很有可能会出现严重的交通事故。

基于此，360在报告中提出了5点建议：

第一、建立供应商关键环节的安全责任体系，可以说汽车网络安全的黄金分割点在于对供应商的安全管理。“新四化”将加速一级供应商开发新产品，届时也会有新一级供应商加入主机厂采购体系，原有的供应链格局将被重塑。供应链管理将成为汽车网络安全的新痛点，主机厂应从质量体系，技术能力和管理水平等多方面综合评估供应商。

第二、推行安全标准，夯实安全基础。2020 年，将是汽车网络安全标准全面铺开的一年。根据ISO21434等网络安全标准，在概念、开发、生产、运营、维护、销毁等阶段全面布局网络安全工作，将风险评估融入汽车生产制造的全生命周期，建立完善的供应链管理机制，参照电子电器零部件的网络安全标准，定期进行渗透测试，持续对网络安全数据进行监控，并结合威胁情报进行安全分析，开展态势感知，从而有效地管理安全风险。

第三、构建多维安全防护体系，增强安全监控措施。被动防御方案无法应对新兴网络安全攻击手段，因此需要在车端部署安全通信模组、安全汽车网关等新型安全防护产品，主动发现攻击行为，并及时进行预警和阻断，通过多节点联动，构建以点带面的层次化纵深防御体系。

第四、利用威胁情报及安全大数据提升安全运营能力。网络安全环境瞬息万变，高质量的威胁情报和持续积累的安全大数据可以帮助车企以较小的代价最大程度地提升安全运营能力，从而应对变化莫测的网络安全挑战。

第五、良好的汽车安全生态建设依赖精诚合作。术业有专攻，互联网企业和安全公司依托在传统IT领域的技术沉淀和积累，紧跟汽车网络安全快速发展的脚步，对相关汽车电子电气产品和解决方案有独到的钻研和见解。只有产业链条上下游企业形成合力，才能共同将汽车网络安全提升到“主动纵深防御”新高度，为“新四化”的成熟落地保驾护航。

未来汽车安全问题势必是多种多样的，而对此只有产业链上下游共同努力，才能防范于未然。

本文来源于汽车之家车家号作者，不代表汽车之家的观点立场。

为防止黑客入侵 特斯拉将推“双重认证”功能

易车讯 近日，特斯拉CEO马斯克表示，特斯拉即将推出“双重认证”功能保护汽车账户安全。目前上述功能正处于“最终验证”阶段，很快就会推送至各位消费者的车上。

相对于部分传统品牌，特斯拉对提升账户安全的紧迫性更高。从功能上看，特斯拉消费者只通过手机就能完成远程解锁车门、车辆定位、安排车辆服务等功能，被黑客盯上后出现的潜在危险也就更多。

马斯克表示，上述功能本该在2019年普及，但最终拖到了今天也没能上线，对此他感到十分尴尬。

双重验证的加入将有助于防止黑客使用被盗的密码劫持用户帐户。双重验证功能的发布日期未知，但是通过马斯克有关双重验证的言论来看，这项功能可能会在不久的将来被加入到特斯拉App中。

无人汽车要是被坏人入侵系统，那行人和车主怎么保障安全？

作为首家引入车载人机交互系统的汽车制造商，在CES上展示了最新的iDrive人机交互命令输入系统。它可以通过iDrive控制器，语音输入命令与车辆通信，还可以通过触摸屏和手势识别系统进行控制。车辆的各种功能。但是，基于最近对坏人入侵系统的一些怀疑，各行各业中的五位大人物对智能汽车的安全性发表了评论。

1.考虑到不断变化的电子系统，智能驾驶网络是防范黑客入侵的最薄弱环节。将来，我们还必须不断提高对打击海盗行为的认识和实践。基于格林威治基金会，其网络安全专家实力雄厚，我们相信他们可以处理相关问题。

2.实际上，如何确保软件的生命周期安全是最大的挑战（智能驾驶）。尽管我们已经编写了数百万行代码来预测各种意外情况，但驾驶员始终是老板，毕竟，他是控制汽车的人。为了实现缺乏动力，我们做得还不够。当前，道路上的车辆现在可以执行用于移动宽带通信的车载娱乐服务，但是汽车在控制制动和驾驶方面仍然不是很好。

3.为了符合条件，我认为智能汽车将非常重视安全性能。这并不意味着不会对汽车进行黑客攻击，而是对汽车故障的保护将更加充分。我希望看到专家委员会可以更多地关注汽车安全。毕竟，互联网将不可避免地将非法活动带入我们的生活。车载系统可以通过GSM，3G，4G手机进行远程控制，我们不知道如何保证安全性。实际上，断开电话与汽车之间的连接非常简单。该软件只是一小部分。